Шифровальщик. Жесть

[quake-1000]

Здравствуйте.

Поймал вирус шифровальщик. Изначально заражен был телефон на андройде. Далее заразился роутер через wifi. Возможно было наоборот.

Через роутер заразилось 3 компа с разными ос (7, 10, mint).

Получает права администратора. Блокирует все подозрительные действия. На роутере включил samba.

На винте сделал невидимые точки монтирования.

Шифранул немного файлов (то что успел).

Другие винты просто подвинул mbr.

При загрузке с live cd записывает сам вторую сессию даже если диск закрыт. Потом грузится вместе с ним.

Mhdd вначале не видит винт. На все реагирует abort. Когда вирус погружается - винт видится с паролем.

Хотел низкоуровневое форматирование сделать.

На одном из ноутов снял жесткие. Гружусь с чистого live dd- все равно откуда то лезет.

Были дампы вируса, все что смогу отправлю ниже.

Пока прикладываю возможный вариант по андройду.

Архив. Пароль FKTYRF

https://yadi.sk/d/GSPWCUnd3U8QkM

https://yadi.sk/d/ePQNCFbj3U9kkZ

Возможно заражен Яндекс диск. В папке синхронизации замечена папка с названием ".что-то" скрытая

Пишу с зараженого телефона. Жесть. Ни чё не работает.

Позже скину дампы, результаты проверок.

Еще что-то:

https://yadi.sk/d/5vQNQsK-3U9mdF

 

Пароль тотже

[kmscom]

лечение выполняется только на ПК с Windows
внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[quake-1000]

Перепрошивка через веб морду роутера ничего не дает.

Телефон тоже только полная перепрошивка. Но еще не факт, может еще глубже сидит

Сейчас виндовс поставлю

[quake-1000]

ЛОГИ

CollectionLog-2018.04.06-14.38.zip

[mike 1]

1. Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:

>> Модифицирован ключ запуска проводника
>> Повреждены настройки SafeBoot

 

2. Удалите остатки от Dr.Web с помощью этой https://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe утилиты в безопасном режиме. 

 

3. Сделайте новые логи.

[quake-1000]

Новые логи

На 2х компьютерах он перепрошил или ограничил BIOS.

Из лайв сд под дос удалось увидеть несколько файлов прошивальщиков биоса.

тепепь даже при загрузке с лайв сд он уже присутствует в системе.

монтирует диск B:\

не понятно откуда он берет образ. Жесткие диски отключены физически. куда копать, может подскажите?

CollectionLog-2018.04.07-10.07.zip

Изменено 7 апреля, 2018 пользователем quake-1000

[mike 1]

Пришлите зашифрованный файл в архиве. 

[quake-1000]

Шифрованных файлов как таковых пока нет.

Он просто архивы пока переименовывает в вид $abc.zip .iso и кладет в папку корзины.

Сдвинул mbr на диске.

Есть вроде как образ его диска, откуда он все тянет.

Ссылка:

1 Файл - https://mega.nz/#!TLIkSSYZ!m3_YhkhnthnglwIGlc_sKHAKS2iafl9OqeHCJ_xTfbU

2 файл - https://mega.nz/#!Ge40Cb4Y!wXgF8TeuBUrpvBScqFy5Gk9P6HSaeclRXDG-jkZi_o4

Пароль отправлю в л/с. Заархивирован дважды.

Изменено 12 апреля, 2018 пользователем quake-1000

[mike 1]

Ответил в ЛС

[quake-1000]

Ничего нового, кроме компьютера.

Новые логи

удалил smart switch, express vpn

CollectionLog-2018.05.07-04.55.zip

CollectionLog-2018.05.07-05.12.zip

Изменено 7 мая, 2018 пользователем quake-1000

[mike 1]

Еще один компьютер что ли заразился?